Microsoft Entra ID — was es wirklich ist, was es kann, und wo es regelmäßig knirscht
Der praxisnahe Überblick über Microsofts Cloud-Identitätsplattform: Funktionen, Lizenzen, Conditional Access, MFA, PIM, Governance, Hybrid-Anbindung und die typischen Stolperfallen aus echten Beratungsprojekten.
Von Azure AD zu Entra ID — und warum der Name irritiert
Im Juli 2023 hat Microsoft den Verzeichnisdienst, den die halbe Welt unter dem Namen Azure Active Directory kannte, einfach umbenannt. Aus Azure AD wurde Microsoft Entra ID. Funktional hat sich erstmal nichts geändert — kein einziges Feature war plötzlich weg, keine neue Magie war plötzlich da. Es war reines Re-Branding mit dem Ziel, alle Identitäts-Produkte unter dem Dach „Entra“ zu bündeln.
Das Problem: Microsoft hat dabei nicht aufgeräumt, sondern erweitert. Heute heißen Dinge unterschiedlich, je nachdem, in welche Doku du gerade reinschaust. „Azure AD Connect“ heißt jetzt „Entra Connect Sync“. Das Admin-Center hat sich von aad.portal.azure.com zu entra.microsoft.com verschoben. PowerShell-Module wurden umbenannt, Graph-API-Endpunkte aber nicht. Willkommen im typischen Microsoft-Übergangsmodus.
Skizze 1 Die Reise vom Windows-Azure-Verzeichnis bis zur heutigen Entra-Familie. Das Re-Branding 2023 markiert keinen technischen Bruch, sondern eine strategische Umsortierung der Produktwelt.
|
PRAXISTIPP Bei Recherchen in der Microsoft-Doku immer beide Begriffe ausprobieren. Viele KB-Artikel, Stack-Overflow-Antworten und auch interne Wissensdatenbanken nutzen noch jahrelang den alten Namen. Wer „Azure AD Connect Health“ sucht, findet manchmal mehr als wer nach „Entra Connect Health“ googelt. |
|---|
Was Entra ID wirklich macht
Wer aus der klassischen On-Premises-Welt kommt, denkt bei „Verzeichnisdienst“ reflexartig an Domain Controller, Gruppenrichtlinien, Kerberos-Tickets, NTLM und SYSVOL-Replikation. Entra ID ist nichts davon. Es ist kein Active Directory in der Cloud. Es ist ein eigenständiges System mit anderen Protokollen, anderen Konzepten und anderen Schmerzen.
Entra ID ist im Kern ein Identity Provider auf Basis moderner Standards: OAuth 2.0, OpenID Connect und SAML 2.0. Es authentifiziert Benutzer und Workloads, stellt Tokens aus, bewertet Zugriffsanfragen anhand von Bedingungen und schreibt das alles in einen Audit-Trail. Was es nicht kann: Kerberos-Tickets ausstellen wie ein DC, Gruppenrichtlinien verteilen oder NTLM-Logons gegen klassische Fileserver durchreichen.
Skizze 2 Entra ID ist der zentrale Identitäts-Hub. Microsoft 365 hängt direkt dran, aber genauso lassen sich SaaS-Anwendungen, eigene Webapps, B2B-Gäste, Workload-Identitäten und über App Proxy oder Global Secure Access auch klassische On-Premises-Anwendungen anschließen.
|
ACHTUNG — HÄUFIGER DENKFEHLER Wer Entra ID einführt und glaubt, damit sein altes Active Directory ersetzen zu können, fährt früher oder später gegen die Wand. Solange File-Server, Druckserver, SQL-Server-Authentifizierung, Gruppenrichtlinien oder klassische Line-of-Business-Anwendungen mit Kerberos im Einsatz sind, bleibt das AD bestehen. Entra ID ergänzt das AD — es ist kein Eins-zu-eins-Ersatz. Reine Cloud-Setups ohne AD sind möglich, aber nur bei einer kompletten Modernisierung aller Anwendungen und Endgeräte (Stichwort Entra-joined Devices, Cloud Kerberos, FIDO2). |
|---|
Die drei großen Aufgabenbereiche
Wenn man Entra ID grob sortieren will, landet man bei drei Säulen:
- Authentifizierung — Wer bist du? Beweise es mit Passwort, MFA, Passkey oder Zertifikat.
- Autorisierung — Was darfst du? Über Rollen, Gruppenmitgliedschaften, App-Rollen und Conditional-Access-Bedingungen.
- Identitäts-Lifecycle — Wer kommt rein, wer fliegt raus, wer bekommt was wann? Provisionierung, Joiner-Mover-Leaver, Access Reviews.
Die Entra-Familie — wer gehört eigentlich dazu
„Entra“ ist heute der Sammelbegriff für alles, was bei Microsoft mit Identität zu tun hat. Entra ID ist nur einer von mehreren Bausteinen. Damit du den Überblick behältst, hier die Familie auf einen Blick:
Skizze 3 Die Entra-Familie auf einem Blatt. Entra ID ist das Fundament — alle anderen Produkte bauen darauf auf oder integrieren sich tief mit ihm. Diese Pillar-Seite fokussiert auf den orange markierten Kern; Governance, External ID, Verified ID und Co. bekommen jeweils eigene Cluster-Inhalte.
|
HINTERGRUND Entra Internet Access und Entra Private Access bilden zusammen das Produkt Microsoft Entra Global Secure Access — Microsofts Eintritt in den SSE-Markt (Secure Service Edge). Wer aktuell mit Zscaler, Netskope oder Palo Alto Prisma liebäugelt, sollte sich Global Secure Access zumindest anschauen. Es ist noch nicht in jedem Detail auf Augenhöhe mit den Marktführern, aber die Integration in Conditional Access ist konkurrenzlos eng. |
|---|
04 Lizenzdschungel — wer darf was?
Entra ID kommt in vier Hauptgeschmacksrichtungen. Wer ein M365-Abo hat, hat automatisch eine Entra-ID-Lizenz dabei — die Frage ist nur, in welcher Stufe.
|
Feature |
Free |
P1 |
P2 |
Governance |
|---|---|---|---|---|
|
Benutzer & Gruppen, SSO zu M365 |
ja |
ja |
ja |
ja |
|
Basis-MFA für Admins |
ja |
ja |
ja |
ja |
|
Conditional Access |
nein |
ja |
ja |
ja |
|
Self-Service Password Reset (mit Writeback) |
nein |
ja |
ja |
ja |
|
Identity Protection (Risk-based) |
nein |
nein |
ja |
ja |
|
Privileged Identity Management |
nein |
nein |
ja |
ja |
|
Access Reviews |
nein |
nein |
ja |
ja |
|
Entitlement Mgmt, Lifecycle WF |
nein |
nein |
tlw. |
voll |
|
PRAXISTIPP AUS ECHTEN AUDITS Die meisten Mittelständler haben P1 (über M365 E3 / Business Premium) und nutzen davon vielleicht 40 Prozent. Wer schon E3 hat, sollte mindestens Conditional Access, Self-Service Password Reset mit AD-Writeback und Application Proxy beziehungsweise Global Secure Access tatsächlich konfigurieren. Wer ohne P2 unterwegs ist, fährt ohne Identity Protection — und das heißt: keine Risk-based-Policies, keine automatische Reaktion auf kompromittierte Konten. Bei größeren Organisationen oder solchen mit NIS2-Pflicht ist P2 praktisch nicht verhandelbar. |
|---|
|
LIZENZ-FALLE Entra-ID-Lizenzen wirken pro Benutzer, der ein Feature aktiv verwendet — nicht pro Tenant. Wenn du eine Conditional-Access-Policy aktivierst, brauchen alle davon betroffenen Benutzer eine P1-Lizenz. Auch Gäste! Für B2B-Gäste gilt allerdings das „External Identities MAU“-Billing-Modell, das großzügig ist (die ersten 50.000 sind kostenfrei). Diese Differenzierung übersehen viele. |
Conditional Access — das Herzstück
Wenn du nur eine einzige Sache aus Entra ID richtig konfigurieren willst: Conditional Access. CA ist die Policy-Engine, die bei jedem Anmeldeversuch entscheidet, ob Zugriff gewährt wird, ob noch MFA verlangt wird, ob das Gerät compliant sein muss, ob Sessions kontrolliert werden — oder ob die Anfrage einfach abgewiesen wird.
Conditional Access ist nicht die MFA-Konfiguration. Das ist ein häufiges Missverständnis. MFA ist eine Methode; Conditional Access ist die Bedingung, unter der MFA (oder anderes) verlangt wird.
Skizze 4 Die Conditional-Access-Engine wertet bei jedem Sign-in fünf Signal-Kategorien aus und kombiniert sie zu einer Entscheidung. Wichtig: Mehrere passende Policies werden kumulativ angewandt — die strengste Anforderung gewinnt.
|
SCHMERZPUNKT AUS 100+ TENANTS Die häufigsten CA-Fehler in der Praxis:
|
|---|
|
BEISPIEL: SINNVOLLES BASIS-SET Für die meisten Mittelständler funktioniert dieses Grundgerüst zuverlässig:
Vor dem Scharfschalten: jede Policy mindestens 7 Tage im Report-only-Modus laufen lassen und die Sign-in-Logs auf unerwartete Treffer prüfen. |
MFA und passwordlose Authentifizierung
Multi-Factor Authentication ist 2026 keine Option mehr, sondern Pflicht. Microsoft selbst hat angekündigt, dass alle Admin-Aktionen im Azure-Portal, Entra-Portal und Intune-Portal nur noch mit MFA möglich sind — egal welche Lizenz. Die Frage ist nur noch: welche Methode?
Skizze 5 Die Auth-Methoden-Hierarchie. Mit „Authentication Strengths“ in Conditional Access lässt sich pro Policy festlegen, welche Methoden akzeptiert werden — zum Beispiel: für privilegierte Rollen ausschließlich phishing-resistente Verfahren.
|
SMS IST TOT SMS-basierte MFA gilt seit Jahren als unsicher (NIST SP 800-63 stuft sie schon lange zurück). SIM-Swap-Angriffe sind real, dokumentiert und in Deutschland keine Seltenheit. Wer 2026 noch SMS-OTP für Admin-Accounts zulässt, hat ein Findings-Risiko bei jedem ernsthaften Audit. Microsoft hat SMS nicht entfernt, aber als „nicht phishing-resistent“ markiert — und die meisten Authentication-Strength-Profile schließen sie aus. |
|---|
Passkeys — der absehbare Standard
Passkeys (auf FIDO2-Basis) sind seit 2024 in Entra ID breit verfügbar, auch synchronisiert über iCloud-Keychain oder Google Password Manager. Die Vorteile: phishing-resistent, kein Passwort zum Klauen, kein Code zum Abfangen, im Alltag oft komfortabler als die App-basierte MFA. Die Schwierigkeit: das Rollout. Wer keine FIDO2-Sticks verteilen will, muss klar regeln, welche Plattform-Passkeys (synced) zulässig sind und welche nicht.
Privileged Identity Management (PIM)
Privileged Identity Management ist die Lösung für ein altes Problem: zu viele Konten haben dauerhaft administrative Rechte, weil das Rechtekonzept historisch gewachsen ist und keiner sich traut, etwas zurückzunehmen. PIM dreht das Spiel um. Statt „Admin-Rechte sind aktiv, bis sie entfernt werden“ gilt: „Admin-Rechte sind eligible, müssen aber aktiv angefordert werden — zeitlich begrenzt, mit Begründung, optional mit Genehmigung.“
Skizze 6 Der PIM-Workflow im Schnelldurchlauf. Wichtig ist die Trennung zwischen eligible (kann aktivieren) und active (hat gerade aktive Rechte). PIM funktioniert für Entra-Rollen, Azure-Resource-Rollen und seit 2023 auch für Gruppen.
|
BEISPIEL: TYPISCHE PIM-ROLLEN-KONFIGURATION
|
|---|
Identity Governance — der Lifecycle-Block
Identity Governance ist das, woran in vielen Unternehmen die Identitätsstrategie scheitert: nicht am Anlegen von Konten, sondern an allem danach. Wer bekommt welche Berechtigungen? Wie kommen Externe rein? Wie kommen sie wieder raus? Wer kontrolliert das?
Skizze 7 Der klassische Joiner-Mover-Leaver-Zyklus, ergänzt um regelmäßige Access Reviews. Entra ID Governance bringt für jeden dieser vier Schritte konkrete Werkzeuge mit — von Lifecycle Workflows über Entitlement Management bis zu automatisierten Re-Zertifizierungen.
|
PRAXISTIPP: ERST ACCESS REVIEWS, DANN ENTITLEMENT MANAGEMENT Wer Identity Governance einführt, fängt am besten mit Access Reviews für privilegierte Rollen und für die größten Gruppen-Berechtigungen an. Das produziert in den ersten Wochen sofort sichtbare Aufräumeffekte — typischerweise verlieren 20–40 Prozent der ursprünglich Berechtigten Zugriff, weil sie ihn entweder nicht mehr brauchen oder nie wirklich gebraucht haben. Erst danach lohnt sich der Aufbau von Access Packages im Entitlement Management. Wer umgekehrt vorgeht, baut Access Packages auf einem unsauberen Berechtigungs-Fundament — und schreibt das Chaos einfach fort. |
|---|
Hybrid — wenn das alte AD bleibt
Realistisch gesehen wird kaum ein etabliertes Unternehmen sein Active Directory in den nächsten Jahren komplett abschalten. Es gibt zu viele Anwendungen, die auf Kerberos, NTLM oder klassische Service-Accounts setzen. Die spannende Frage ist also nicht „AD oder Entra ID“, sondern „wie binden wir beides sauber zusammen?“
Skizze 8 Die hybride Welt im Überblick. Entra Connect Sync (klassisch) oder Cloud Sync (leichter, Agent-basiert) repliziert Objekte vom AD ins Entra ID. Anwendungen werden je nach Protokoll-Modernität direkt an Entra ID angebunden, via App Proxy publiziert oder über Entra Private Access erreichbar gemacht.
|
SCHMERZPUNKT: ADFS IST (FAST) TOT ADFS war jahrelang die Standardlösung für Federation. Seit Microsoft Entra ID die Pass-through Authentication, das Password Hash Sync und Conditional Access ausgebaut hat, ist ADFS für die meisten Szenarien überflüssig — und ein Betriebsrisiko. ADFS-Server brauchen Patches, Zertifikate, Hochverfügbarkeit und sind das beliebteste Angriffsziel für Tier-0-Kompromittierungen (siehe Solarwinds-Vorfall). Microsoft empfiehlt offen: weg von ADFS, hin zu Cloud-Auth. Wer ADFS noch betreibt, sollte einen Migrationsplan haben oder zumindest wissen, warum nicht. |
|---|
Compliance: NIS2, DORA und ISO 27001
Seit Oktober 2024 ist NIS2 in der EU geltendes Recht, in Deutschland im Frühjahr 2025 umgesetzt. DORA gilt seit Januar 2025 für den Finanzsektor. Beide Regelwerke stellen sehr konkrete Anforderungen an Identitätsmanagement, Zugriffskontrolle und Protokollierung — und Entra ID kann mit der richtigen Konfiguration einen erheblichen Teil davon abdecken.
|
WAS ENTRA ID ZU COMPLIANCE BEITRÄGT
Das Mapping zwischen Entra-Features und den 14 Maßnahmen-Bereichen aus NIS2 Art. 21 Abs. 2 ist Bestandteil meines Beratungsangebots — und im Entra Diagnostiker automatisiert als Bericht eingebaut. |
|---|
|
ACHTUNG — COMPLIANCE IST KEIN HÄKCHEN Die größte Falle: Features aktivieren und glauben, damit sei die Anforderung erfüllt. NIS2 und DORA wollen nachweisbar wirksame Maßnahmen sehen — also Policies, Reports, Reviews, Eskalationswege und regelmäßige Kontrollen. Wer Conditional Access aktiviert hat, aber keine Sign-in-Log-Auswertung betreibt, hat technisch geliefert, fachlich aber nicht. Das Auditing kommt — bei NIS2 sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes möglich. |
Die zehn häufigsten Schmerzpunkte aus echten Projekten
Aus inzwischen über hundert Entra-/Azure-AD-Tenants, die ich beraten oder analysiert habe, sind das die Klassiker — sortiert nach Häufigkeit, nicht nach Schwere:
|
01 |
Keine Break-Glass-Accounts oder die Glasbruch-Konten haben dasselbe MFA-Token wie der Hauptadmin. Wenn die Bude brennt, ist das Konto, das sie löschen soll, mit drin. |
|
02 |
Conditional Access ohne Notfallplan. Eine fehlerhafte Policy sperrt den Tenant. Wer keinen Plan B hat (Break-Glass + Backup-Methode + Microsoft-Support-Kanal), sitzt Stunden im Dunkeln. |
|
03 |
Legacy-Authentifizierung noch aktiv. POP, IMAP, SMTP-AUTH mit Basic Auth — alles, was MFA umgeht. Eigentlich seit 2022 deprecated, aber in vielen Tenants noch erlaubt für „diese eine alte Anwendung“. |
|
04 |
Globale Administratoren in Überzahl. Microsoft empfiehlt 2–4. In der Realität: 10, 15, manchmal über 20 — inklusive ehemaliger Mitarbeiter und Dienstleister. |
|
05 |
Service-Konten als „normale“ Benutzer. Mit Standard-Passwort, ohne MFA-Ausnahme via Conditional Access, ohne Owner-Eintrag. Klassische Pain-Quelle für gescheiterte Sync-Jobs nach MFA-Rollout. |
|
06 |
Identity Protection wird nicht ausgewertet. P2 ist lizenziert, aber Risk Detections laufen ins Leere. Niemand bearbeitet kompromittierte Konten — sie bleiben aktiv. |
|
07 |
Guest Access nicht gesteuert. Externe kommen rein und niemand weiß mehr wer warum. Ohne regelmäßige Access Reviews wächst der Guest-Wildwuchs jahrelang ungestört. |
|
08 |
App Registrations ohne Owner. Hunderte App-Registrierungen mit Secrets, die in zwei Jahren ablaufen — und niemand fühlt sich zuständig. |
|
09 |
Self-Service Password Reset nicht für AD-Konten. SSPR ist konfiguriert, aber Password Writeback ins on-prem-AD läuft nicht. Resultat: Cloud-Passwort geändert, AD-Passwort nicht — Verwirrung garantiert. |
|
10 |
Keine zentrale Log-Auswertung. Sign-in-Logs gibt es 30 Tage im Portal, dann sind sie weg. Wer NIS2 / DORA / ISO 27001 ernst meint, exportiert nach Log Analytics oder Sentinel und bewahrt mindestens 180 Tage auf. |
|
AUS DEM BERATUNGSALLTAG „Wir haben P2 lizenziert, seit drei Jahren.“ — „Und wie viele Risk Detections habt ihr letzte Woche bearbeitet?“ — „… was sind Risk Detections?“ |
|---|
Beratung — wenn der eigene Tenant durch ist
Der Überblick oben zeigt, wie Entra ID funktioniert, wo es typischerweise knirscht und welche Stellschrauben wirklich wichtig sind. Was so eine Übersichtsseite dir nicht abnimmt: deinen konkreten Tenant durchleuchten, deine 47 historisch gewachsenen Conditional-Access-Policies aufräumen, oder einen NIS2-belastbaren Governance-Aufbau bei dir im Haus organisieren. Genau dafür gibt es die Beratung.
Typische Anlässe sind drei Sorten. „Wir wissen nicht, wo wir stehen“ — der Tenant läuft seit Jahren, niemand kennt mehr alle Policies, und jetzt steht ein Audit an. „Wir wollen das richtig machen, von Anfang an“ — frische Umgebung, Tenant-Konsolidierung oder die Identitäts-Strategie hat es endlich auf die Agenda geschafft. „Es brennt“ — Compromise-Verdacht, gescheiterte Migration oder Sign-in-Logs mit Auffälligkeiten.
Die drei Beratungs-Varianten im Überblick:
- Quick Health Check (1–2 Tage, Festpreis) — Tenant-Analyse mit dem Entra Diagnostiker in 14 Modulen: Conditional Access, MFA-Abdeckung, Guest-Hygiene, App Registrations, PIM, Identity Protection, NIS2-Mapping. Ergebnis ist ein Befundbericht mit Priorisierung (kritisch/mittel/niedrig) und einem konkreten Aktionsplan zum Abarbeiten.
- Strategische Begleitung (mehrere Tage, oft über Monate verteilt) — für Projekte wie MFA- oder Passkey-Rollout inklusive passender Conditional-Access-Strategie, ADFS-Ablösung mit sauberem Migrationspfad, Aufbau von Identity Governance (Access Reviews, Entitlement Management, Lifecycle Workflows), Tenant-Konsolidierung nach Übernahme oder strukturierte NIS2-/DORA-Vorbereitung.
- Workshop vor Ort oder remote (1–3 Tage) — für interne IT-Teams, die das Wissen selbst aufbauen wollen. Kein MOC-Folienkino, sondern am eigenen Tenant gearbeitet, mit konkreten Aufgaben aus eurer Realität.
Was die Beratung von anderen unterscheidet: keine Schubladenkonzepte aus dem Berater-Werkzeugkasten, sondern 30 Jahre Microsoft-Enterprise-Praxis. Eigene Werkzeuge wie der Entra Diagnostiker und der ADFS Diagnostiker, die im Beratungsalltag entstanden sind und in jedem Projekt mitlaufen. Bücher, deren Inhalte du auf dieser Website kostenlos lesen kannst — die Beratung ist die Anwendung dessen, was in den Büchern steht.
Alle Details, Leistungspakete und Preise → zur Entra-Consulting-Seite · Direkt Kontakt aufnehmen
Das Buch zum Thema
Wer es ganz genau wissen will, findet hier nur einen Bruchteil dessen, was in den Beratungsprojekten der letzten Jahre an Substanz angefallen ist. Conditional-Access-Policy-Sets für sechs verschiedene Unternehmensgrößen, PIM-Rollouts ohne Helpdesk-Aufstand, ADFS-Migrationen mit hundert Relying Parties, Identity-Governance-Aufbau bei Steuerberatungen und Energieversorgern, NIS2-Mapping-Templates, PowerShell-Snippets fürs Auditing — das passt nicht in eine Webseite. Das gehört in ein Buch.
Genau dieses Buch entsteht gerade: „Entra ID in der Praxis — Identität, Sicherheit und Governance im Microsoft-365-Universum“. Rund 800 Seiten, acht Teile von Tenant-Architektur über Hybrid Identity, Conditional Access, Identity Protection, Enterprise Applications, Identity Governance bis hin zu Monitoring und Migrations-Szenarien. Drei wiederkehrende Fallstudien-Unternehmen — Mittelstand, Steuerberatung und digitaler Mittelständler — ziehen sich durch alle Kapitel und zeigen die Konfigurationen am echten Beispiel statt am Whiteboard.
Erscheint geplant im Spätsommer 2026 im eigenen Verlag (Ulrich Boddenberg Publishing, KDP). Frühlese-Kapitel und Manuskript-Updates gibt es vorab auf der Buchseite — eintragen lohnt sich, weil die ersten zwei Kapitel kostenfrei zum Reinlesen verschickt werden.
Mehr zum Buch, Inhaltsverzeichnis, Frühlese-Anmeldung → Detailseite Entra-Buch
Werkzeug zum Thema: der Entra Diagnostiker
Beratung skaliert nur so weit, wie die Werkzeuge mitspielen. Genau deshalb gibt es den Entra Diagnostiker — ein Windows-Werkzeug, das im Beratungsalltag entstanden ist und inzwischen das zentrale Analyse-Tool für jeden Health Check und jedes größere Entra-Projekt ist. Liest deinen Tenant über die Microsoft Graph API aus und analysiert ihn in 14 Modulen: Conditional Access, MFA-Abdeckung, Guest-Hygiene, App Registrations, Privileged Identity Management, Identity Protection, Sign-in-Anomalien, Lizenz-Auslastung — und ein dediziertes Modul, das die Befunde gegen die NIS2-Anforderungen mapped.
Was den Diagnostiker von typischen SaaS-Audit-Tools unterscheidet: die Daten bleiben bei dir. Lokale SQLite-Datenbank, keine Cloud-Übertragung, kein externes Backend, kein Telemetrie-Funk. Genau richtig für Tenants, in denen Datenschutz und Vertraulichkeit nicht verhandelbar sind — also so ziemlich alle. Ergebnisse landen als strukturierter DOCX-Bericht mit Priorisierung in drei Stufen (kritisch / mittel / niedrig) und konkretem Aktionsplan zum Abarbeiten.
Eingesetzt wird das Werkzeug einerseits in eigenen Beratungsprojekten, andererseits als lizensiertes Produkt für Unternehmen, die ihre Entra-Analysen selbst durchführen wollen — typischerweise Inhouse-IT-Teams größerer Mittelständler, Wirtschaftsprüfer mit IT-Audit-Mandat und Systemhäuser, die ihren Kunden einen wiederholbaren Assessment-Service anbieten.
Mehr zum Entra Diagnostiker, Module, Demo, Lizenzmodell → Detailseite
Schulungen und Workshops zu Entra ID
Wissen aus Texten und Skizzen ist eine Sache — das eigene Team auf den Stand zu bringen, an dem es Entra ID souverän konfiguriert, kontrolliert und weiterentwickelt, eine andere. Genau dafür gibt es die Schulungs- und Workshop-Reihe rund um Entra ID. Im Format weniger Microsoft-Folienkino, dafür mehr Hands-on am echten Tenant — entweder am eigenen Produktiv-System (vorsichtig, mit Read-only-Mindset) oder an einer dedizierten Schulungs-Umgebung.
Klassische Themen sind die Klassiker aus den Beratungsprojekten: Conditional Access von Grund auf, MFA- und Passkey-Rollout im Unternehmen, Privileged Identity Management einführen ohne den Helpdesk lahmzulegen, Identity Governance Quick Wins, NIS2-/DORA-Mapping als ganztägiger Workshop, und der Klassiker für hybride Umgebungen — saubere ADFS-Ablösung mit allen Migrationspfaden. Auf Anfrage auch maßgeschneiderte Workshops zu eurer spezifischen Konfiguration.
Format ist flexibel. Ein-Tages-Kompakt-Workshops für gezielte Themen, zwei- bis dreitägige Tief-Workshops für umfangreichere Aufbauten, und eine Online-Workshop-Reihe ab Herbst 2026 als Begleit-Format zum Buch. Teilnehmerzahl üblicherweise auf acht begrenzt, damit jeder im Workshop auch wirklich am Tenant arbeiten kann — bei großen Konzernen werden Sessions gerne als geschlossene Gruppen für ein Team gebucht, bei kleineren Unternehmen entstehen offene Termine mit Teilnehmern aus verschiedenen Organisationen.
Was du nicht bekommst: zertifizierungs-orientierte Frontalschulungen, die dich auf einen Microsoft-Prüfungstitel vorbereiten. Was du bekommst: praxisnahes Wissen, mit dem dein Tenant am Montag nach dem Workshop messbar besser dasteht.
Alle Workshop-Themen, Termine, Preise und Buchung → Detailseite Entra-Schulungen
Fachartikel zu Entra ID
Hier findest du eine wachsende Sammlung an Fachartikeln zu Entra ID – aus Kundenprojekten, aus Trainings und aus den Stunden, in denen ich mich gefragt habe, warum eigentlich niemand das mal vernünftig aufschreibt. Alles frei verfügbar, ohne Login. Wenn dich etwas tiefer interessiert oder ein konkretes Problem brennt: Du weißt, wo du mich findest.
Administrative Units in Entra ID sinnvoll nutzen
Administrative Units sinnvoll nutzen – Delegation ohne Chaos Administrative Units sind das Werkzeug gegen den Reflex „dann mach ihn halt zum User Administrator". Eine Administrative Unit (AU) zieht eine Grenze um einen Teil deines Tenants – einen Standort, eine...
Access Reviews und Entitlement Management in Entra ID
Access Reviews und Entitlement Management in der Praxis Die meisten Tenants haben kein Berechtigungsproblem beim Vergeben – sondern beim Wieder-Wegnehmen. Rechte werden erteilt, der Mensch wechselt das Team, das Projekt endet, der externe Berater ist längst weg –...
Privileged Identity Management (PIM) einrichten
Privileged Identity Management (PIM) sauber einrichten Privileged Identity Management ist nicht „MFA für Admins" und auch kein Häkchen, das du einmal setzt. PIM verwandelt dauerhafte Adminrechte in Rechte auf Antrag und auf Zeit – berechtigt sein und es...
Sign-in Logs und AADSTS-Fehlercodes in Entra ID
Sign-in Logs lesen und AADSTS-Fehlercodes entschlüsseln Die meisten öffnen die Anmeldeprotokolle erst, wenn schon jemand schreit — und scrollen dann ratlos durch rote Zeilen. Dabei ist ein Sign-in-Log keine Strafe, sondern das ehrlichste Tagebuch, das dein...
Token Lifetime und Session-Probleme in Entra ID
Token Lifetime und Session-Probleme – warum sich alle ständig neu anmelden Wenn die halbe Belegschaft stöhnt, sie müsse sich „gefühlt zehnmal am Tag" neu anmelden, greifen viele Admins reflexartig zur Token-Lebensdauer und drehen sie hoch....
Conditional-Access-Blockaden debuggen
Conditional-Access-Blockaden debuggen mit dem Was-wäre-wenn-Tool Eine Conditional-Access-Policy zu debuggen, indem man Leute sich live einloggen lässt und schaut, was passiert, ist ungefähr so clever wie die Sicherung rauszudrehen, um zu prüfen, ob...
Entra Connect vs. Cloud Sync
Entra Connect vs. Cloud Sync – wann was, und warum die meisten falsch wählen Kurzfassung vorab: Die meisten greifen reflexartig zu Entra Connect, weil es das kennt man halt-Tool ist – und schleppen damit einen ganzen Server samt Patch-Pflicht mit, den sie gar...
Hybrid-Authentifizierung: PHS, PTA und Federation im Vergleich
Password Hash Sync, Pass-through Auth oder Federation – die Entscheidungsmatrix Kurzfassung vorab: Für die allermeisten Umgebungen ist Password Hash Sync (PHS) die richtige Antwort – und zwar nicht als fauler Kompromiss, sondern weil es das robusteste und...
Entra Join, Hybrid Join und Registered im Vergleich
Hybrid Join, Entra Join, Registered – der Geräte-Dschungel sortiert Kurzfassung vorab: Die drei Join-Typen sind keine Qualitätsstufen, sondern Werkzeuge für verschiedene Geräte. Entra Join ist das saubere Zielbild für firmeneigene,...
Identity Protection und risikobasierte Policies in Entra ID
Identity Protection und risikobasierte Policies richtig einsetzen Identity Protection ist kein Knopf, den du einschaltest und dann ruhig schlaefst. Es ist ein Risiko-Radar, das dir sagt, welche Anmeldungen und Konten verdaechtig sind – reagieren musst du selbst. Und...
Cross-Tenant Access und B2B Collaboration in Entra ID
Cross-Tenant Access und B2B Collaboration ohne Sicherheitslücken B2B in Entra ID ist erstaunlich schnell eingerichtet – und genau das ist die Gefahr. Die Standardeinstellungen sind bewusst gastfreundlich, nicht sicher. Wer Cross-Tenant Access nicht aktiv...
Continuous Access Evaluation (CAE) in Entra ID
Continuous Access Evaluation (CAE) erklärt – Echtzeit statt Token-Ablauf Die unbequeme Wahrheit klassischer Token: Wenn du einen Mitarbeiter sperrst, bleibt er trotzdem drin – bis sein Access Token irgendwann von selbst abläuft, typischerweise nach rund...
MFA-Methoden in Entra ID im Vergleich
MFA-Methoden im Vergleich: Authenticator, FIDO2, Passkeys und Co. Kurzfassung vorab MFA ist nicht gleich MFA. Die unbequeme Wahrheit: Der zweite Faktor, den die meisten nutzen – SMS-Code oder TOTP – lässt sich mit einer halbwegs gemachten Phishing-Seite genauso...
Conditional Access Policies richtig aufbauen
Conditional Access Policies richtig aufbauen – Reihenfolge, Fallstricke, Blueprint Kurzfassung vorab Conditional Access ist die Firewall deiner Identitäten – und die meisten bauen sie in der falschen Reihenfolge auf. Die unbequeme Wahrheit: Eine einzige Policy...
Named Locations und Trusted IPs in Entra ID
Named Locations und Trusted IPs – die unterschätzten Stolperfallen Kurzfassung vorab Named Locations fühlen sich an wie ein Sicherheitszaun – sind aber nur ein Namensschild. Die unbequeme Wahrheit: Ein benannter Standort blockt von sich aus gar nichts. Er...
Passkeys in Microsoft 365 und Entra ID – Passwordless-Sicherheit mit Praxisfokus
Zu Power Automate biete ich eine eintägige Online-Schulung an, die regelmäßig durchgeführt wird. Hier finden Sie die Schulung zu Power Automate. Einleitung Montagmorgen, 8 Uhr im Büro: Die erste Tasse Kaffee dampft, das Telefon der IT-Hotline klingelt Sturm. Eine...
Biometrische Sicherheit mit Windows Hello
Einstieg: Warum Biometrie, warum jetzt? Ich gebe es zu: Noch vor ein paar Jahren hätte ich beim Thema biometrische Anmeldung wohl skeptisch die Augenbrauen gehoben. Doch die Zeiten ändern sich, und zwar rasant. Heute, Ende 2025, sind Fingerabdruckscanner und...
Entra ID Sync – Praxisleitfaden für IT-Leiter und Admins
Management Summary Entra ID Sync als Schlüssel zur hybriden Identität: Mit Entra ID Sync verbinden Sie Ihre lokale Active Directory-Welt nahtlos mit der Cloud. Das Ergebnis ist ein konsistentes Benutzerkonto über alle Systeme hinweg, weniger manuelle Pflege und...
Conditional Access in Microsoft 365
Management Summary Bedingter Zugriff („Conditional Access“) ist das Sicherheits-Türsteher-Prinzip für die Cloud: Nur wer definierte Bedingungen erfüllt – richtige Person, passendes Gerät, zulässiger Ort und geringes Risiko – erhält Zugang zu Unternehmensdaten....